Cadenas de autenticación previa, rootkits de Android, evasión de CloudTrail y 10 historias más

watchTower Labs ha revelado dos fallas de seguridad en Progress ShareFile (CVE-2026-2699 y CVE-2026-2701) que podrían encadenarse para conquistar la ejecución remota de código previamente autenticado. Mientras que CVE-2026-2699 es una omisión de autenticación a través del punto final “/ConfigService/Admin.aspx”, CVE-2026-2701 se refiere a un caso de ejecución remota de código posterior a la autenticación. Un atacante podría combinar las dos vulnerabilidades para eludir la autenticación y cargar shells web. Progress publicó correcciones para las vulnerabilidades con Storage Zone Controller 5.12.4 osado el 10 de marzo de 2026. Hay aproximadamente de 30.000 instancias conectadas a Internet, lo que hace que la reparación de las fallas sea crucial.

Un nuevo malware para Android llamado NoVoice se ha distribuido a través de más de 50 aplicaciones que se descargaron al menos 2,3 millones de veces. Si admisiblemente las aplicaciones se hacían acaecer por utilidades, galerías de imágenes y juegos, y ofrecían la funcionalidad anunciada, el malware intentó obtener llegada raíz en el dispositivo explotando 22 vulnerabilidades de Android que recibieron parches entre 2016 y 2021. “Si los exploits tienen éxito, el malware obtiene el control total del dispositivo”, dijo McAfee Labs. “A partir de ese momento, a cada aplicación que abre el adjudicatario se le inyecta un código controlado por el atacante. Esto permite a los operadores consentir a los datos de cualquier aplicación y filtrarlos a sus servidores”. El malware evita infectar dispositivos en determinadas regiones, como Beijing y Shenzhen en China, e implementa más de una docena de comprobaciones de emuladores, depuradores y VPN. Luego se pone en contacto con un servidor remoto para expedir información del dispositivo y apañarse los exploits apropiados para obtener llegada raíz y deshabilitar SELinux. Al obtener llegada elevado, el rootkit modifica las bibliotecas del sistema para suministrar la ejecución de código malvado cuando se abren aplicaciones específicas, instala aplicaciones arbitrarias y habilita la persistencia. Se ha descubierto que NoVoice comparte cierto nivel de superposición con Triada. Una de las aplicaciones objetivo es WhatsApp, que permitió al malware compilar datos de la aplicación tan pronto como se lanzó. Desde entonces, Google eliminó las aplicaciones. La maduro concentración de infecciones se registró en Nigeria, Etiopía, Argelia, India y Kenia.

La Oficina Federal de Investigaciones (FBI) de EE. UU. advierte sobre los riesgos de seguridad de los datos asociados con las aplicaciones móviles desarrolladas en el extranjero. “A principios de 2026, muchas de las aplicaciones más descargadas y de maduro cuestación en Estados Unidos son desarrolladas y mantenidas por empresas extranjeras, particularmente aquellas con sede en China”, dijo el FBI. “Las aplicaciones que mantienen la infraestructura digital en China están sujetas a las extensas leyes de seguridad doméstico de China, lo que permite al gobierno chino consentir potencialmente a los datos de los usuarios de aplicaciones móviles”. La oficina asimismo advirtió que estas aplicaciones pueden compilar información de contacto con el pretexto de invitar a amigos a usarlas, acumular datos personales en servidores chinos o contener malware que podría compilar datos más allá de lo competente por el adjudicatario. “Esto podría incluir código malvado y malware difícil de eliminar diseñado para explotar vulnerabilidades conocidas en varios sistemas operativos e insertar una puerta trasera para privilegios elevados, como permitir la descarga y ejecución de paquetes maliciosos adicionales diseñados para proporcionar llegada no competente a los datos de los usuarios”, añadió. El FBI no nombró las aplicaciones, pero TikTok, Shein, Temu y DeepSeek encajan en el perfil.

El Área de Estado de EE.UU. ha osado oficialmente la Oficina de Amenazas Emergentes, una nueva dispositivo encargada de proteger la seguridad doméstico de EE.UU. contra ataques cibernéticos contra infraestructuras críticas, amenazas en el ámbito espacial y el uso indebido de la inteligencia químico (IA) y otros riesgos tecnológicos avanzados de Irán, China, Rusia y Corea del Septentrión.

Li Xiong, ex presidente del conglomerado financiero camboyano HuiOne, ha sido extraditado a China. Ha sido marcado de explotación de garitos de selección, fraude, operaciones comerciales ilícitas y emblanquecimiento de capitales. Según Xinhua, se dice que Li es un miembro secreto del sindicato transnacional de cibercrimen ideado por Chen Zhi, presidente de Prince Group, quien fue extraditado a China en enero de 2026 y ha sido marcado por Estados Unidos de trabajar complejos de estafa de “carnicería de cerdos” a gran escalera y con trabajos forzados en el sudeste oriental. En mayo de 2025, la Red de Ejecución de Delitos Financieros del Reservas de Estados Unidos calificó al Corro Huione como “una institución financiera de principal preocupación en materia de lavado de efectivo”.

Google dijo que está implementando la capacidad de cambiar un nombre de adjudicatario para los usuarios de cuentas de Google en los EE. UU. “El correo electrónico de su cuenta de Google aludido que termina en gmail.com se convertirá en una dirección de correo electrónico alternativa”, dijo Google en un documento de soporte. “Recibirás correos electrónicos tanto en tu dirección antigua como en la nueva. Los datos guardados en tu cuenta no se verán afectados. Esto incluye cosas como fotos, mensajes y correos electrónicos enviados a tu dirección de correo electrónico aludido”. Si admisiblemente los usuarios pueden retornar a cambiar a su dirección de correo electrónico aludido en cualquier momento, no es posible crear una nueva cuenta de correo electrónico de Google que termine en gmail.com durante los próximos 12 meses. La nueva dirección de correo electrónico siquiera se puede eliminar.

Un togado federal de EE. UU. bloqueó temporalmente la designación de Anthropic por parte de la filial Trump como un peligro para la dependencia de suministro. La empresa AI había argumentado que la designación estaba causando un daño inmediato e irreparable. “Nadie en el estatuto que lo rige respalda la principios orwelliana de que una empresa estadounidense puede ser tildada de adversario y saboteador potencial de Estados Unidos por expresar desacuerdo con el gobierno”, escribió la jueza de distrito Rita Lin en el error.

Los ciberdelincuentes han puesto sus miras en los usuarios de Android a través de un nuevo esquema de phishing que disfraza aplicaciones maliciosas como oportunidades de prueba beta para ChatGPT y herramientas de metapublicidad. En estos ataques, lo que parece ser una invitación a anunciar aplicaciones resulta ser un intento cuidadosamente planeado de robar credenciales de Facebook y secuestrar el control de las cuentas de los usuarios. “Estos mensajes impulsan aplicaciones maliciosas entregadas a través de ‘firebase-noreply@google.com’ a través de Firebase App Distribution, un servicio razonable de Google para distribuir aplicaciones preliminares a los evaluadores”, dijo LevelBlue. “Una vez instaladas, estas aplicaciones solicitan credenciales de Facebook, lo que lleva al phishing y a la apropiación de cuentas”. Una campaña similar ha utilizado correos electrónicos de phishing que se hacen acaecer por ChatGPT y Gemini para incitar a los usuarios a descargar aplicaciones iOS maliciosas desde la App Store de Apple. “Disfrazadas de herramientas comerciales o de administración de anuncios, estas aplicaciones solicitan credenciales de Facebook, lo que lleva a la convento de credenciales”, añadió la empresa.

Google ha hecho que la detección de ransomware y la restauración de archivos en Drive estén disponibles de forma generalizada luego de divulgar la función en interpretación beta en septiembre de 2025 para ayudar a las organizaciones a minimizar el impacto de los ataques de malware en las computadoras personales. La detección de ransomware detiene la sincronización de archivos y la restauración de archivos permite a los usuarios restaurar de forma masiva sus archivos a una interpretación aludido en Drive. “En comparación con cuando la función estaba en interpretación beta, ahora podemos detectar aún más tipos de criptográfico de ransomware y podemos hacerlo más rápido”, dijo Google. “Nuestro postrer maniquí de IA detecta 14 veces más infecciones, lo que genera una protección aún más completa”.

La empresa de ciberseguridad Darktrace dijo que ha observado un aumento constante en la actividad de GhostSocks en toda su almohadilla de clientes desde finales de 2025. “En un caso extraordinario de diciembre de 2025, Darktrace detectó GhostSocks operando yuxtapuesto con Lumma Stealer, lo que refuerza que la asociación entre Lumma y GhostSocks sigue activa a pesar de los recientes intentos de alterar la infraestructura de Lumma”, dijo. Comercializado originalmente en el foro clandestino ruso xss(.)is como malware como servicio (MaaS), GhostSocks permite a los actores de amenazas convertir dispositivos comprometidos en servidores proxy residenciales, aprovechando el encantado de bandada de Internet de la víctima para enrutar el tráfico malvado a través de ellos. Utiliza el protocolo proxy SOCKS5, creando una conexión SOCKS5 en dispositivos infectados. Comenzó a ser ampliamente acogido tras su asociación con Lumma Stealer en 2024.

La cantidad de avisos de malware en ecosistemas de código franco se ha multiplicado por 13,6 desde enero de 2024, a medida que los actores de amenazas toman el control de paquetes confiables para envenenar la dependencia de suministro de software. “De los 1.011 avisos de ATO (adquisición de cuentas) de npm registrados en la almohadilla de datos OSV durante todo el tiempo, 930 se presentaron en 2025, un aumento interanual de aproximadamente 12 veces que representa el 92 % de todos los ATO informados en npm”, dijo Endor Labs. Entre los casos de npm ATO de 2025, el 38,4% de los paquetes afectados tuvieron más de 1.000 descargas mensuales, el 18,5% superó las 10.000 y el 11,1% tuvo más de 100.000. Los atacantes apuntan deliberadamente a paquetes que están profundamente integrados en sistemas de producción y canales de CI/CD automatizados, maximizando el radiodifusión de crisis de cada compromiso”.

Se ha descubierto que una interpretación actualizada del malware de robo de información XLoader (interpretación 8.7) incorpora varios cambios en la ofuscación del código para dificultar la automatización y el prospección. Estos incluyen el uso de cadenas cifradas que se descifran en tiempo de ejecución, bloques de código criptográfico que consisten en funciones que se descifran en tiempo de ejecución y métodos mejorados para ocultar títulos codificados y funciones específicas, según Zscaler. XLoader asimismo utiliza una combinación de múltiples capas de criptográfico con diferentes claves para transcribir el tráfico de red. “XLoader sigue siendo un saqueador de información muy activo que recibe actualizaciones constantemente”, afirmó la empresa. “Como resultado de las múltiples capas de criptográfico del malware, los servidores C2 señuelo y la robusta ofuscación del código, XLoader ha podido permanecer en gran medida fuera del radar”.

Los investigadores de ciberseguridad han incompatible múltiples vulnerabilidades de día cero en ImageMagick que podrían encadenarse para conquistar la ejecución remota de código a través de una única imagen o carga de PDF. Según Pwn.ai, el ataque funciona en la configuración predeterminada y en la configuración “segura” más restrictiva. El problema afecta a todas las principales distribuciones de Linux, así como a las instalaciones de WordPress que procesan la carga de imágenes. Al momento de escribir este artículo, permanece sin parches. Mientras tanto, se recomienda procesar archivos PDF en un entorno marginado sin llegada a la red, desactivar XML-RPC en WordPress y sitiar GhostScript.

Los adversarios están eludiendo las detecciones tradicionales de CloudTrail, como StopLogging o DeleteTrail, y en su oportunidad utilizan API de AWS menos conocidas para cegar los sistemas de registro. Esto incluye la creación de “zonas de actividad invisibles” usando PutEventSelectors, usando StopEventDataStoreIngestion y DeleteEventDataStore para detener o destruir la visibilidad forense a dilatado plazo, deshabilitando la detección de anomalías a través de PutInsightSelectors, neutralizando las protecciones entre cuentas a través de DeleteResourcePolicy y DeregisterOrganizationDelegatedAdmin. “El seguro peligro está en la secuencia: individualmente, estas llamadas API parecen un mantenimiento de rutina, pero encadenadas permiten a los atacantes borrar evidencia y eludir la detección por completo”, dijo Abstract Security.

El actor de amenazas conocido como LofyGang resurgió con un paquete npm aparente (“undicy-http”) que ofrece un ataque de doble carga útil: un troyano de llegada remoto (RAT) basado en Node.js con transmisión de pantalla en vivo y un binario nativo de Windows PE que utiliza llamadas al sistema directas para inyectar en los procesos del navegador y robar credenciales, cookies, tarjetas de crédito, IBAN y tokens de sesión de más de 50 navegadores web y 90 extensiones de billetera de criptomonedas. El módulo de secuestro de sesión está dirigido a Roblox, Instagram, Spotify, TikTok, Steam, Telegram y Discord. “La capa Node.js opera de forma independiente como una RAT completa con shell remoto, captura de pantalla, transmisión por cámara web/micrófono, carga de archivos y capacidades de persistencia, todo controlado a través de un panel WebSocket C2”, dijo JFrog. La capa Node.js asimismo descarga un binario PE nativo para suministrar la filtración de datos a través de un webhook de Discord y un bot de Telegram.